IPSec トンネル監視が機能しているかどうかを確認する方法
Resolution
概要
IPSec トンネル監視は、トンネルインターフェイスの ip から供給された監視対象の ip アドレスに一定の ping を送信するメカニズムです。ping の間隔は、モニタプロファイル ([ネットワーク] > [ネットワークプロファイル] > [モニタ] > [間隔]) で指定します。
メモ:監視対象の ip アドレスは、ネットワーク > IPSec トンネル > [全般] タブ > [宛先 ip] で構成されています。
詳細
トンネル監視が上下しているかどうかを確認するには、次のコマンドを使用します。
> vpn フローの表示
id 名状態モニタローカル ip ピア ip トンネル-i/f
------------------------------------------------------------------------------------
1トンネル-リモートアクティブアップ10.66.24.94 10.66.24.95 トンネル 2
上記の出力は、モニタのステータスが "up" であることを示しています。
これらの ping の数を確認するには、[ vpn フロートンネルの表示]-[id id] > [コマンド] を使用します。
例えば:
> vpn フロートンネルの表示-id 1
トンネルトンネル-リモート
id: 1
タイプ: IPSec
ゲートウェイ id: 1
ローカル ip アドレス: 10.66.24.94
ピア ip: 10.66.24.95
内部インターフェイス: トンネル2
外部インタフェース: ethernet1/3
状態: アクティブ
セッション: 6443
トンネルの mtu: 1436
寿命は残る: 2663 sec
最新の rekey: 937 秒前
モニタ: オン
モニターの状態: 上
モニター間隔: 3 秒
モニタのしきい値: 5 プローブの損失
送信されたパケットの監視: 739180
パケットの監視 recv: 732283
見られるパケットを監視: 584
パケットを監視する返信: 584
en/decap コンテキスト:76
ローカル spi: F18E58FF
リモート spi: B90FCFB2
上記の出力では:
送信されたパケットの監視-送信された ping の数
パケット recv-送信された ping に受信した応答の数を監視します。
監視パケットが見られる-リモート側の問い合わせから受信したモニタパケットの数。
パケットの応答を監視する-"監視パケットが見られる" に応答して送信された返信の数。これは、要求がトンネルインターフェイス IP に対して行われた場合にのみインクリメントされます。
特定のトンネルの実行時の状態をリアルタイムで表示するには、次のコマンドを実行します。
> ランニングトンネルフロートンネルを表示する-id 1 |マッチモニター
モニタ: オン
モニターの状態: 上
モニター間隔: 3 秒
モニタのしきい値: 5 プローブの損失
送信されたパケットの監視: 739180
パケットの監視 recv: 732283
見られるパケットを監視: 584
パケットを監視する返信: 584
モニタが "on" で、何らかの理由でモニタのステータスが "down" の場合でも、"送信されたモニタパケット" の増分は維持されますが、"パケット recv の監視" は一定であることを確認することができます。トンネルがダウンし、モニターの状態がダウンしている場合でも、「送信されたモニターパケット」は、定期的に ping を送信します。
注: トンネルが下がるたびに、パロアルトネットワークファイアウォールは、システムログ(s重大度がクリティカルに設定されている) の下でイベントを生成します。通知は、重要なログ用に電子メール警告プロファイルが構成されている場合に生成されます。詳細については、次のドキュメントを参照してください。システムログの電子メール警告を構成する方法
また見なさい
IPSEC VPN トンネルの状態、クリア、復元、および監視を行う CLI コマンド
所有者: dreputi